Uma botnet é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente. O termo é geralmente associado com o uso de software malicioso, mas também pode se referir a uma rede de computadores utilizando software de computação distribuída. As principais motivações para levar alguém a criar e controlar botnets são o reconhecimento e o ganho financeiro. Quanto maior a botnet, mais admiração seu criador pode reivindicar entre a comunidade underground. Poderá ainda alugar os serviços da botnet para terceiros, usualmente mandando mensagens de spam ou praticando ataques de negação de serviço contra alvos remotos. Devido ao grande número de computadores comprometidos, um volume grande de tráfego pode ser gerado.
Botnes se tornaram uma parte significativa da internet, embora cada vez mais camuflados. Uma vez que a maior parte das redes convencionais de IRC tomou providências para bloquear o acesso de botnets anteriormente hospedados, os controladores precisam agora encontrar seus próprios servidores. Com frequência um botnet inclui uma grande variedade de conexões e tipos de redes. Um controlador pode esconder um instalador de um servidor IRC em um site educacional ou corporativo, onde conexões de alta velocidade suportam um grande número de bots.
Muitas botnets foram encontradas e removidas da internet. A polícia holandesa encontrou uma botnet com 1,5 milhão de nós e a operadora de telecomunicações norueguesa Telenor acabou com uma botnet de dez mil nós. Em julho de 2010, o FBI prendeu um jovem eslovênio de 23 anos responsável por um software malicioso que, segundo uma estimativa, integrava 12 milhões de computadores em uma botnet. Atualmente estima-se que até um quarto de todos os computadores pessoais conectados à internet façam parte de uma botnet.
Organização
Em geral, as botnets recebem nomes derivados dos softwares maliciosos que utilizam, mas existem múltiplas botnets em operação as quais utilizam a mesma família de software malicioso, operadas por diferentes entidades criminosas.
Apesar do termo botnet ser usado em referência a qualquer grupo de bots, geralmente é usado para designar um conjunto de computadores comprometidos onde o software malicioso permanece em execução. Esse software é usualmente instalado por drive-by downloads que exploram vulnerabilidades do navegador web, via worms, cavalos de Tróia ou backdoors, sob o comando de uma infraestrutura de controle.
Um botnet do originador, também conhecido por bot herder, pode controlar remotamente o grupo, geralmente através de um meio como o IRC. Muitas vezes o comando e controle é realizado através de um servidor de IRC ou um canal específico em uma rede pública IRC. Esse servidor é conhecido como o command-and-control server. Embora raro, operadores botnet mais experientes programam seus próprios protocolos de controle. Os constituintes desses protocolos incluem os programas servidor e cliente, além do programa que se instala na máquina da vítima. Os três comunicam-se uns com os outros em uma rede usando um esquema único de criptografia para não ser detctado e evitar intrusão na rede botnet.
Novos bots podem reconhecer seus ambientes automaticamente e se propagar usando vulnerabilidades e senhas fracas. Quanto mais vulnerabilidades um bot puder detectar e propagar, mais valioso se torna para a comunidade controladora da botnet. O roubo de recursos computacionais devido à inclusão do sistema em uma botnet é chamado de scrumping.
Criação e exploração
O operador da botnet envia virus e worms, infectando computadores de usuários comuns.
O bot no computador infectado faz o login em uma botnet do operador.
Um interessado em enviar spam compra os serviços da botnet.
A mensagem fornecida pelo interessado é espalhada pelos computadores da rede botnet.
O perigo das botnets
13/05/2005, por Christiano Cony - Muitos usuários de computador relaxam na segurança de suas máquinas sob o argumento de que não acessam o site do banco via Internet, não fazem compras online e não guardam informações críticas no sistema. Este argumento, no entanto, é falacioso. Se o seu computador está conectado à Internet, você deve considerá-lo como integrante de uma rede, que pode interagir com outros computadores (para o bem ou para o mal) e, se você não tomar cuidado, esta interação pode acontecer sem o seu próprio conhecimento.
Um computador comprometido por programas maliciosos e conectado à Internet pode ser prejudicial não só para o seu dono, como para muitas outras pessoas. E uma das formas comuns de comprometimento de computadores domésticos, atualmente, está relacionada aos chamados "bots", softwares maliciosos que formam redes de máquinas comandadas remotamente por alguém mal-intencionado.
A palavra "bot" provém de "robot" (robô) e se refere ao fato de que uma máquina comprometida por um desses programas pode ser controlada a distância e receber comandos de terceiros. Os computadores infectados por “bots” são chamados de zumbis, e as redes formadas por vários zumbis coordenados são chamadas de "botnets" (redes de robôs).
Segundo o Centro de Atendimento a Incidentes de Segurança (CAIS), que faz parte da Rede Nacional de Ensino e Pesquisa (RNP), as botnets cresceram visivelmente nos últimos anos e se tornaram o principal problema de segurança enfrentado por seus técnicos em 2004.
Tanto computadores domésticos quanto corporativos podem se tornar parte de uma botnet, mas os usuários domésticos têm sido alvos bastante freqüentes destes ataques, pelo simples fato de que suas máquinas normalmente não dispõem de uma segurança tão rígida. Quando um sistema é invadido por um bot, fica à mercê do invasor, que pode tomar várias atitudes prejudiciais ao usuário, desde acessar dados privados (como senhas), até usar a máquina comprometida para atacar outros computadores.
Portanto, cuidar para que seu sistema esteja sempre livre de qualquer ameaça é essencial. Mesmo que você julgue não ter nada de importante armazenado no computador, poderá ter dores de cabeça se sua máquina for usada sem o seu conhecimento em ataques a sistemas alheios.
Para esclarecer detalhes a respeito da propagação de bots e da formação de botnets (e como evitá-las), procuramos o Centro de Atendimento a Incidentes de Segurança (CAIS), que integra a Rede Nacional de Ensino e Pesquisa (RNP) e cuida da segurança da rede acadêmica brasileira. O CAIS monitora constantemente atividades maliciosas nos servidores desta rede e possui informações privilegiadas a respeito de padrões atuais de ataques. Veja as explicações de seus técnicos:
O que é e como é formada uma botnet?
Resposta: Uma botnet é uma rede de máquinas infectadas por bots. Bots são softwares maliciosos que se espalham de maneira autônoma (tal como um worm), aproveitando vulnerabilidades que podem ser exploradas remotamente, senhas fáceis de adivinhar, ou mesmo usuários mal informados que executam inadvertidamente arquivos recebidos pela Internet.
Os bots se conectam por meio de um componente IRC (Internet Relay Chat, uma rede para comunicação online) a um determinado canal de um ou mais servidores IRC. Normalmente, o software usado para gerenciamento destes canais é modificado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. Assim está formada uma botnet, que o atacante controla por meio de comandos no canal IRC.
Que riscos as botnets representam para o usuário doméstico? E para as corporações?
Resposta: Assim como os worms, os bots podem se propagar explorando remotamente vulnerabilidades nos sistemas. Mas de modo diferente dos worms, bots são ferramentas de ataque distribuído, que têm como usos mais comuns: ataques de negação de serviço distribuído (DDoS); envio de spam por meio de um componente do bot; captura de tráfego de rede no segmento comprometido com o bot; captura do que é digitado no teclado do computador comprometido; propagação de novos softwares maliciosos; instalação de hardware (software para exibição de publicidade).
Para um usuário doméstico, o risco está na captura de dados sigilosos, como senhas, nomes de usuários, números de cartões de crédito. Outro risco está no tipo de atividade com o qual seu computador colabora sem o seu conhecimento: ataques de phishing scam, envio de spam, parte integrante de um ataque DDoS, e outros.
Para as corporações, as botnets oferecem todos os riscos que oferecem a um usuário doméstico, o diferencial está no valor estratégico das informações contidas nas máquinas comprometidas. Por outro lado, as corporações podem ser alvo de ataques DDoS, com origem em dezenas de milhares de outros computadores, o que pode causar a interrupção dos serviços, insatisfação dos clientes e, não raro, perdas financeiras.
Qual é o tamanho médio, em quantidade de máquinas comprometidas, das botnets observadas?
Resposta: É difícil estimar, porque os atacantes utilizam versões bem modificadas de servidores IRC (que dificultam a contagem de associações a um canal, por exemplo) e porque os bots são espalhados entre vários servidores, mas as redes variam de centenas a dezenas de milhares de bots. O projeto Honeynet Project & Research Alliance, que pesquisa padrões de ataques a redes, já monitorou botnets com até 50 mil máquinas.
Como um usuário comum pode se defender contra bots e botnets?
Resposta: Há bots para Linux, mas a maioria esmagadora das botnets é formada por bots projetados para atacar sistemas Windows. Uma vez que bots se propagam por meio da exploração remota de vulnerabilidades, um usuário que mantém seu sistema com as últimas atualizações de segurança e possui (e sabe usar) um firewall pessoal (que evita que dados entrem ou saiam do sistema sem consentimento do usuário) tem pouca probabilidade de integrar uma botnet. Para se manter informado sobre atualizações de segurança em sistemas Windows, pode-se acessar a página de segurança da Microsoft Brasil.
Os softwares antivírus também podem oferecer uma barreira à instalação de bots, mas eles só são eficazes contra arquivos recebidos pelos usuários, caso consigam identificá-los como bots. Já os bots com capacidade de se instalar explorando uma vulnerabilidade remota conseguem muitas vezes burlar e até desligar os antivírus.